WordPress auf HTTPS (SSL) umstellen

Es ist mittlerweile offiziell, dass eine sichere Datenübertragung auf Websites per SSL / HTTPS das Google-Ranking positiv beeinflussen kann. Außerdem ist es seit Inkrafttreten der DSGVO sowieso Pflicht, solltest Du auf Deiner Website ein Formular anbieten, über das personenbezogene Daten übermittelt werden.

Hier noch ein paar Gründe, warum Du unbedingt auf HTTPS umstellen solltest:

• SSL ist mittlerweile ein Rankingfaktor bei Google
• Du gestaltest Deine Website damit DSGVO-konform
• Du wirkst vertrauenswürdiger gegenüber Deine Websitebesuchern und nicht zuletzt auch auf Google, wo es immer mehr auf Expertise, Autorität und Vertrauenswürdigkeit (E-A-T) ankommt

Ich zeige Dir hier, wie Du Deine WordPress Website sicher und SEO-konform auf HTTPS umstellst, ohne Dein bestehendes Google-Ranking dabei zu gefährden.

Was ist SSL überhaupt?

SSL steht für Secure Sockets Layer und ist ein Verschlüsselungsprotokoll, mit dem Daten sicher übertragen werden können. SSL-verschlüsselte Websites erkennt man daran, dass in der Adressleiste im Browser statt „http“ ein „https“ steht und an dem (grünen) Schloss neben der Website-Adresse (URL).

Wofür benötige ich SSL?

Das Sicherheitsprotokoll SSL zählt bereits seit 2014 zu den Ranking-Faktoren bei Google. Nun will Google ab 01.01.2017 unverschlüsselte Websites, auf denen Passwörter oder Kreditkartendaten eingegeben werden können, als unsicher markieren.

Google möchte damit dazu beitragen, das Web sicherer zu machen. Die Verwendung von SSL signalisiert dem Besucher, dass Du verantwortungsvoll mit seinen persönlichen Daten umgehst.

Woher bekomme ich ein SSL Zertifikat für meine Website?

Ein SSL Zertifikat wird von vielen Registrierungsstellen gegen ein Entgelt angeboten. Bei den günstigeren Varianten wird einfach nur geprüft, ob eine Domain rechtmäßig registriert wurde. Bei aufwändigeren Verfahren werden amtliche Dokumente, wie ein Handelsregisterauszug, zur Überprüfung der Identität herangezogen.

Eine kostenlose Alternative ist Let’s Encrypt, eine Initiative der Internet Security Research Group (ISRG). Die ISRG ist ein Zusammenschluss von Big Playern wie Mozilla Foundation, Google Chrome, Facebook und Automattic (WordPress), die zum Ziel hat, sicheres Internet für Jedermann verfügbar zu machen.

Einige deutsche Hoster wie All-inkl.com* bieten Unterstützung für Let’s Encrypt an, andere bieten stattdessen kostengünstige Zertifikate ihrer Partner, wie beispielsweise AlphaSSL an.( Im Zweifelsfall frag Deinen Hoster.) Bei einigen Hostern, wie HostEurope, ist bei den Serverprodukten eine manuelle Installation des Zertifikates möglich.  Hier findest Du eine Liste der Hoster, die Let’s Encrypt unterstützen.

In diesem Artikel zeige ich Dir, wie Du ein SSL-Zertifikat auf Deiner WordPress-Website einrichtest. Du solltest allerdings schon etwas Erfahrung mit der Betreuung von Websites haben.

1. Schritt: SSL-Zertifikat auf dem Server einrichten

Zunächst einmal musst Du bei Deinem Hoster ein SSL-Zertifikat beziehen. Bei einigen Hostern kannst Du das problemlos selbst im Kundenbereich einstellen, vor allem dann, wenn sie das kostenlose Let’s Encrypt unterstützen. Bei anderen Hostern musst Du ein kostenpflichtiges Zertifikat beziehen. Dazu kontaktierst Du am besten Deinen Hoster.

Solltest Du einen eigenen (Virtual) Server nutzen, musst Du das Zertifikat selbst installieren. Im folgenden zeige ich Dir das beispielhaft an zwei Hostern, wie das geht:

Variante a: Kostenloses Let’s Encrypt- Zertifikat bei All-Inkl.com aktivieren

Logge Dich unter https://kas.all-inkl.com/ im Kundenadministrationsbereich ein und klicke links auf „Domain“. Wähle dort neben der Domain, die Du umstellen möchtest in der Spalte „Aktion“ den Bearbeiten-Button (Pfeil-Icon) aus.

Klicke dann neben SSL-Schutz auf „bearbeiten“.

In der Ansicht wählst Du den Let’s Encrypt Tab aus und machst ein Häkchen bei „Haftungsausschluss akzeptieren“. Dann klicke auf den Button „jetzt ein Let´s Encrypt Zertifikat beziehen und einbinden“.

Nun einige Minuten warten, bis das Zertifikat aktiv ist.

Nun ist Deine Website sowohl unter http:// als auch unter https:// erreichbar. Damit sämtliche Links und Grafiken auf Deiner Website auf die https://-Version verweisen, gehe nun zu Schritt 2.

Variante b: Einrichtung Deines SSL-Zertifikates auf Deinem (Virtual) Server mit Plesk (z.B. für HostEurope Server Kunden)

Nachdem Du Dein SSL-Zertifikat bei Deinem Hoster oder bei Let’s Encrypt bezogen hast, logge Dich in der Plesk-Administrations-Oberfläche ein und klicke auf „Websites & Domains“. Dort wählst Du die entsprechende Domain aus und klickst auf „SSL-Zertifikat“.

Klicke dort auf „SSL-Zertifikat hinzufügen“ und gib einen Namen für Dein Zertifikat ein.

Dann lädst Du entweder die entsprechenden Zertifikats-Dateien (private Key, Zertifikat, CA-Zertifikat) hoch oder fügst die entsprechenden Komponenten per Copy&Paste in die dafür vorgesehenen Felder ein. Klicke dann auf „Zertifikat hochladen“.

Nun musst Du das Zertifikat noch für Deine Domain aktivieren. Gehe auf „Websites & Domains“, wähle Deine Domain und klicke auf „Hosting-Einstellungen“. Aktiviere dort SSL-Unterstützung und wähle das Zertifikat aus.

2. Schritt: BackUp Deiner WordPress Datenbank

Grundsätzlich sollten Wordpress-Backups sowieso regelmäßig gemacht werden. Da Du hier aber Änderungen an Deiner Datenbank machen wirst, ist es äußerst wichtig, vorher ein Backup zu erstellen. (In einem der folgenden Blogartikel zeige ich Dir, wie es geht). Geeignete Plugins sind z.B. BackWPup, Duplicator oder UpdraftPlus.
Lies hier meine Anleitung zum WordPress Umzug mit Duplicator.

3. Schritt: WordPress Website auf https:// umstellen

Im nächsten Schritt stellst Du im WordPress Dashboard unter „Einstellungen“ Die WordPress-Adresse und die Website-Adresse auf HTTPS um:

Ggf. musst Du Dich nun neu im Dashboard einloggen.

Außerdem solltest Du Deine Permalinks einmal aktualisieren (unter Einstellungen -> Permalinks).

4. Schritt: Die URLS anpassen

Nun solltest Du die URLs anpassen, also alle internen Links, Bilder und Mediendateien auf https:// umstellen. Denn nur wenn alle Verknüpfungen auf Deiner Website auf die https-Version verweisen, wird im Browser die Seite als sicher ausgewiesen (grünes Schloss).

Ich empfehle dazu ein Suchen-und-Ersetzen-Plugin wie Better Search Replace.
Alternative: Velvet Blues Update URLs

Gib dazu unter

• „Suchen nach“ die alte URL mit http:// ein,
• im Feld „Ersetzen durch“ die neue https-Variante
• und wähle alle Tabellen aus.
• Häkchen bei „Testlauf“ rausnehmen.

Nun sollten alle Pfade auf https geändert sein.

5. Schritt: Testen der SSL Verschlüsselung

Nun solltest Du noch einmal Deine Website überprüfen. Funktioniert alles korrekt und wird überall in der Adressleiste das (grüne) Schloss angezeigt? Sollten im Browser Warnhinweise angezeigt werden, kann das daran liegen, dass einzelne Elemente der Seite noch über http eingebunden sind. Das könnten z.B. Grafiken sein, die über einen absoluten Link eingebunden sind. Oder die CSS Datei kann noch solche Pfade enthalten. Ein Blick in den Seitenquelltext oder in die Entwicklertools von Chrome oder Firefox hilft hier weiter.

6. Schritt: Weiterleitung von http:// auf https:// per .htaccess Datei

Nun ist Deine Seite sowohl unter http als auch unter https erreichbar. Das ist für Dein Google Ranking nicht gut, denn so hast Du Duplicate Content, was Google gar nicht mag. Deshalb solltest Du sicherstellen, dass Deine Website nur noch über https erreichbar ist.

Apache-Server

Dazu benötigst Du jetzt einen FTP-Zugang zu Deiner Website. Logge Dich per FTP- Programm (z.B. mit Filezilla) auf Deinem Server ein und lade Dir die .htaccess-Datei auf deinen lokalen PC. Am besten, Du erstellst Dir vorher noch eine Kopie der .htacces-Datei.

Nun öffne die Datei mit einem Text-Editor (nicht Word!) wie Notepad ++ und füge folgende Code hinzu:

RewriteEngine On
 RewriteCond %{HTTPS} !=on
 RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Speichern und dann wieder auf den Server hochladen. Das war’s auch schon.

nginx-Server

Falls Deine WordPress-Website auf einem nginx-Server liegt, solltest Du diesen Code in Deine nginx.conf einfügen:

# force https-redirects
    if ($scheme = http) {
        return 301 https://$server_name$request_uri;
}

Falls Du ein Caching-Plugin installiert hast, solltest Du jetzt den Cache noch einmal leeren.

Die einfache Plugin-Variante – Really Simple SSL

Es ist also wirklich nicht schwer, seine Website auf SSL umzustellen, aber es geht natürlich noch einfacher. Mit dem Plugin Really Simple SSL kannst Du Dir die Schritte 3,4 und 6 sparen. Lediglich Dein SSL Zertifikat beim Hoster musst Du bestellen. Backups solltest Du sowieso immer machen, und testen nach der Umstellung solltest Du auch. Wenn Du Dich also gar nicht mit der manuellen Lösung anfreunden kannst, dann nutze einfach dieses Plugin.

Was gibt es sonst noch SEO-mäßig zu beachten?

In der Google Search Console solltest Du eine neue Property für die HTTPS-Version anlegen und die neu erstellte Sitemap dort einreichen. Falls Du die Property mit Google Analytics verbunden hast, solltest Du auch hier die Verknüpfung ändern.

Beobachte nun in den nächsten Wochen, ob Du irgendwelche Probleme oder Auffälligkeiten feststellen kannst.

Es kann sein, dass Du – kurzfristig – einen kleinen Einbruch in Deinen Rankings bemerkst. Lass Dich davon nicht stressen, denn Google benötigt immer eine gewisse Zeit, genau wie bei einem Domainwechsel auch. Mit Hilfe der 301-Weiterleitung, die Du per .htaccess eingerichtet hast, gibst Du dein Ranking an die HTTPS-Version weiter und nach kurzer Zeit sollte Dein Ranking wieder auf dem alten Niveau sein.

Denke außerdem daran, auch Deine bestehenden Links zu ändern, z.B. bei sozialen Netzwerken – ggf. musst Du Deine Linkpartner anschreiben!

Ist Dir sonst noch etwas aufgefallen? Hast Du noch Fragen dazu? Dann hinterlasse mir einen Kommentar!